In Google Distributed Cloud, configuri i cluster di amministrazione per gestire altri cluster in modo sicuro. Puoi creare, aggiornare, eseguire l'upgrade o eliminare i cluster utente dall'amministratore cluster. I cluster utente eseguono i carichi di lavoro separatamente dall'amministrazione, le informazioni sensibili siano protette.
I cluster di amministrazione che gestiscono carichi di lavoro multi-cluster possono fornire disponibilità elevata l'affidabilità In un cluster ad alta disponibilità, in caso di errore di un nodo del piano di controllo, gli altri nodi continuerà a funzionare.
Un cluster di amministrazione in un ambiente multi-cluster offre la migliore sicurezza. Poiché l'accesso ai dati di amministrazione è separato dai carichi di lavoro, chi accede ai carichi di lavoro degli utenti non ha accesso a dati amministrativi sensibili, come chiavi SSH e dati degli account di servizio. Di conseguenza, c'è un compromesso tra la sicurezza e le risorse richieste, poiché un cluster di significa che hai bisogno di risorse dedicate per la gestione e i carichi di lavoro.
Puoi creare un cluster di amministrazione utilizzando il comando bmctl
. Dopo aver creato un amministratore
creare un cluster per le tue
cluster a
per eseguire carichi di lavoro.
Prerequisiti:
- L'ultima versione di
bmctl
è stata scaricata (gs://anthos-baremetal-release/bmctl/1.29.200-gke.243/linux-amd64/bmctl
) da Cloud Storage. - La workstation che esegue
bmctl
dispone di connettività di rete a tutti i nodi in cluster utente di destinazione. - La workstation che esegue
bmctl
dispone di connettività di rete all'API del cluster server (VIP del piano di controllo). - La chiave SSH utilizzata per creare il cluster di amministrazione è disponibile per
root
o per un utente non root con privilegisudo
senza password su tutti i nodi nel cluster di amministrazione di destinazione. - L'account di servizio Connect-register è configurato per essere utilizzato con Connect.
Consulta la guida rapida di Google Distributed Cloud per espandere istruzioni dettagliate per la creazione di un cluster ibrido. Creazione di un cluster di amministrazione è simile alla creazione di un cluster ibrido, con la differenza che non esegui carichi di lavoro il cluster di amministrazione.
Abilita SELinux
Se vuoi abilitare SELinux per proteggere i tuoi container, devi assicurarti
SELinux è abilitato in modalità Enforced
su tutte le macchine host. A partire da
Google Distributed Cloud versione 1.9.0 o successiva, puoi abilitare o disabilitare SELinux
prima o dopo la creazione o gli upgrade del cluster. SELinux è abilitato da
come predefinita su Red Hat Enterprise Linux (RHEL). Se SELinux è disabilitato su
dalle tue macchine host o se non sai con certezza
Protezione dei container con SELinux
per istruzioni su come attivarlo.
Google Distributed Cloud supporta SELinux solo nei sistemi RHEL.
Accedi a gcloud CLI e crea un file di configurazione del cluster di amministrazione
Imposta le credenziali predefinite che Google Distributed Cloud può utilizzare per creare nel cluster con il comando seguente:
gcloud auth application-default login
Per utilizzare le funzionalità di abilitazione automatica delle API e creazione di account di servizio in questa pagina, concedi il ruolo di Proprietario progetto a quell'entità. Se L'entità non può avere il ruolo Proprietario progetto. Completa il passaggio successivo.
Assicurati che la creazione del cluster possa riuscire senza concedere al progetto Nel ruolo di proprietario, aggiungi i seguenti ruoli IAM all'entità:
- Amministratore account di servizio
- Service Account Key Admin
- Amministratore IAM progetto
- Compute Viewer
- Amministratore Service Usage
Se l'entità è un account di servizio con questi ruoli, puoi eseguire:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
Sostituisci
JSON_KEY_FILE
con il percorso del tuo chiave JSON dell'account di servizio.Ottieni l'ID del tuo progetto Google Cloud e archivialo in una variabile di ambiente usalo per la creazione del cluster:
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Crea una configurazione del cluster di amministrazione con bmctl
Dopo aver effettuato l'accesso a gcloud CLI e aver configurato il tuo progetto,
puoi creare il file di configurazione del cluster con il comando bmctl
.
Nell'esempio seguente, tutti gli account di servizio vengono creati automaticamente
il comando bmctl create config
:
bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
--create-service-accounts --project-id=CLOUD_PROJECT_ID
Sostituisci quanto segue:
- ADMIN_CLUSTER_NAME: il nome del nuovo cluster.
- CLOUD_PROJECT_ID: l'ID progetto Google Cloud o la
Variabile di ambiente
$CLOUD_PROJECT_ID
.
Ecco un esempio per creare un file di configurazione per un cluster di amministrazione
denominato admin1
associato all'ID progetto my-gcp-project
:
bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project
Il file viene scritto in bmctl-workspace/admin1/admin1.yaml
.
In alternativa all'abilitazione automatica delle API e alla creazione di account di servizio,
puoi anche fornire ai tuoi account di servizio esistenti le
Autorizzazioni IAM. Ciò significa che puoi saltare la creazione automatica dell'account di servizio
nell'esempio precedente nel comando bmctl
:
bmctl create config -c admin1 --project-id=my-gcp-project
Modifica il file di configurazione del cluster
Ora che hai un file di configurazione del cluster, modificalo per apportare le seguenti modifiche:
Fornisci la chiave privata SSH per accedere ai nodi del cluster di amministrazione:
# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes # resource, this section can only be included when using bmctl to # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly # applying the cluster and node pool resources to the existing cluster, you must remove this # section. gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /path/to/your/ssh_private_key gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
Registra i tuoi cluster in un parco risorse. L'ID progetto specificato nel comando
bmctl create config
viene automaticamente aggiuntogkeConnect.projectID
nel file di configurazione del cluster. Questo progetto è noto come progetto host del parco risorse.Se hai creato il file di configurazione utilizzando l'abilitazione automatica dell'API e le funzionalità di creazione di account di servizio, puoi saltare questo passaggio.
Se hai creato il file di configurazione senza utilizzare l'API automatica l'abilitazione delle funzionalità di abilitazione e di creazione degli account di servizio, nelle chiavi JSON dell'account di servizio
gkeConnectAgentServiceAccountKeyPath
egkeConnectRegisterServiceAccountKeyPath
campi del cluster di configurazione del deployment.Se vuoi, puoi aggiungere
gkeConnect.location
alle specifiche del cluster per specificare la regione Google Cloud in cui e l'esecuzione dei servizi Connect. Questo abbonamento a livello di regione limita il parco risorse e il traffico dei servizi verso la tua regione. Se includigkeConnect.location
in la specifica del cluster, la regione specificata deve essere uguale alla regione configurata inclusterOperations.location
. Se le regioni non sono la creazione del cluster ha esito negativo.
Assicurati che la configurazione specifichi un tipo di cluster
admin
(il valore predefinito):spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: admin
Se l'API GKE On-Prem è abilitata nel tuo progetto Google Cloud, tutti i cluster nel progetto vengono registrato nell'API GKE On-Prem automaticamente nella regione configurata in
clusterOperations.location
.Se vuoi registrare tutti i cluster del progetto nell'API GKE On-Prem, segui i passaggi Prima di iniziare per attivare e utilizzare l'API GKE On-Prem nel progetto.
Se non vuoi registrare il cluster nell'API GKE On-Prem, includi questa sezione e imposta
gkeOnPremAPI.enabled
sufalse
. In caso contrario registrare eventuali cluster nel progetto, disabilitagkeonprem.googleapis.com
(il nome del servizio per l'API GKE On-Prem) nel progetto. Per istruzioni, vedi Disattivazione dei servizi.
Modifica il file di configurazione per specificare un piano di controllo multinodo ad alta disponibilità. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
# Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6
Specifica la densità dei pod dei nodi del cluster:
.... # NodeConfig specifies the configuration that applies to all nodes in the cluster. nodeConfig: # podDensity specifies the pod density configuration. podDensity: # maxPodsPerNode specifies at most how many pods can be run on a single node. maxPodsPerNode: 250 ....
Per i cluster di amministrazione, i valori consentiti per
maxPodsPerNode
sono32-250
per i cluster ad alta disponibilità e64-250
per i cluster non ad alta disponibilità. Il valore predefinito se non specificato è110
. Una volta creato il cluster, questo valore non può essere aggiornato.La densità dei pod è limitata anche dalle risorse IP disponibili del cluster. Per maggiori dettagli, vedi Networking dei pod:
Crea il cluster di amministrazione con la configurazione del cluster
Utilizza il comando bmctl
per eseguire il deployment del cluster:
bmctl create cluster -c ADMIN_CLUSTER_NAME
ADMIN_CLUSTER_NAME specifica il nome del cluster creato nella sezione precedente.
Di seguito è riportato un esempio del comando per creare un cluster
chiamato admin1
:
bmctl create cluster -c admin1
Configurazioni di esempio del cluster di amministrazione
Per esempi di configurazioni del cluster di amministrazione, vedi Cluster di amministrazione del Esempi di configurazione del cluster.